OSCS开源安全周报第 56 期：Apache Airflow Spark Provider 任意文件读取漏洞

本周安全态势综述

OSCS 社区共收录安全漏洞 3 个，公开漏洞值得关注的是 Apache NiFi 连接 URL 验证绕过漏洞(CVE-2023-40037)、PowerJob 未授权访问漏洞(CVE-2023-36106)、Apache Airflow Spark Provider 任意文件读取漏洞(CVE-2023-40272)。

针对 NPM 、PyPI 仓库，共监测到 81 个不同版本的毒组件，其中 NPM 组件包 mall-front-babel-directive 等携带远控木马，该系列的组件包具有持续性威胁行为。

重要安全漏洞列表

1. Apache NiFi 连接 URL 验证绕过漏洞(CVE-2023-40037)

Apache NiFi 是一个开源的数据流处理和自动化工具。

在受影响版本中，由于多个Processors和Controller Services在配置JDBC和JNDI JMS连接时对URL参数过滤不完全。使用startsWith方法过滤用户输入URL，导致过滤可以被绕过。攻击者可以通过构造特定格式来绕过连接URL验证，可能造成数据泄露等危害。

参考链接：https://www.oscs1024.com/hd/MPS-0378-t16x

2. PowerJob 未授权访问漏洞(CVE-2023-36106)

PowerJob 是一款开源的分布式任务调度框架。

在 PowerJob 受影响版本中存在错误的访问控制漏洞。由于没有对/container/list接口做鉴权，未授权的攻击者可以构造 appId 参数访问 /container/list接口获取应用容器的标识、运行状态、日志等敏感信息。

参考链接：https://www.oscs1024.com/hd/MPS-st3c-aw5x

3. Apache Airflow Spark Provider 任意文件读取漏洞

Apache Airflow Spark Provider是Apache Airflow项目的一个插件，用于在Airflow中管理和调度Apache Spark作业。

受影响版本中，在JDBC连接时，由于没有对conn_prefix参数做验证，允许输入"?"来指定参数。攻击者可以通过构造参数?allowLoadLocalInfile=true连接攻击者控制的恶意mysql服务器，读取Airflow上的任意文件。

参考链接：https://www.oscs1024.com/hd/MPS-w0kg-9vl7

4. NPM 组件包 mall-front-babel-directive 等携带远控木马

投毒者于8月17日起发布了 essc-crypto、urs-remote 等NPM组件包之后，相继发布 mall-front-babel-directive 等NPM投毒包，当用户安装时会针Windows/Mac/Linux系统从以下网址下载对应远控木马，进而与攻击者可控的C2服务器建立连接，远程执行系统命令或执行任意文件的上传/下载。

Windows版本：hxxps://img.murphysec-nb.love/w_x32.exe

Mac版本：hxxps://img.murphysec-nb.love/m_arm64

Linux版本：hxxps://img.murphysec-nb.love/l_x64

参考链接：https://www.oscs1024.com/hd/MPS-6olr-8p73

*查看漏洞详情页，支持免费检测项目中使用了哪些有缺陷的第三方组件